Google a annoncé aujourd'hui, sur son blog sur la sécurité, qu'il bloquerait la connexion à partir des environnements de navigateur intégrés à partir de juin. L’espoir est qu’une telle initiative protégera mieux les gens contre les attaques de type «homme au milieu» (MITM).

Les infrastructures de navigateur intégrées permettent aux développeurs d’inclure des instances Web dans leurs applications. Par exemple, Spotify utilise des frameworks de navigateur intégrés pour permettre aux utilisateurs de se connecter à leurs comptes Facebook. L'idée des frameworks de navigateurs intégrés est d'améliorer l'expérience utilisateur en conservant les utilisateurs dans une application au lieu de les envoyer à un navigateur complet s'ils souhaitent se connecter à un service.

Le problème est qu’une attaque MITM peut intercepter les informations de connexion et les deuxièmes facteurs. Selon Google, il est impossible de "faire la différence entre une connexion légitime et une attaque MITM" dans les navigateurs intégrés. La solution de Google consiste donc à bloquer la connexion à partir des environnements de navigateur intégrés.

En conséquence, Google demande aux développeurs de passer à l'authentification OAuth basée sur un navigateur. De cette façon, les applications enverront les utilisateurs vers Chrome, Safari, Firefox ou d'autres navigateurs mobiles s'ils souhaitent se connecter à un service.

Cela peut sembler plus gênant par rapport au mode de connexion actuel, mais l’annonce d’aujourd’hui signifie que les internautes peuvent voir l’URL complète d’une page. Ainsi, les utilisateurs savent si la page dans laquelle ils saisissent leurs identifiants de connexion est légitime ou non.

Les développeurs dont les applications nécessitent un accès aux données de compte Google sont invités à utiliser dès aujourd'hui l'authentification OAuth par navigateur.